Получить навыки работы с журналами мониторинга различных событий в
системе.
Задание
Продемонстрируйте навыки работы с журналом мониторинга событий в
реальном времени.
Продемонстрируйте навыки создания и настройки отдельного файла
конфигурации мониторинга отслеживания событий веб-службы.
Продемонстрируйте навыки работы с journalctl.
Продемонстрируйте навыки работы с journald.
Ход выполнения лабораторной работы
Мониторинг журнала системных событий в реальном времени
Мониторинг
журнала системных событий в реальном времени
tail -f /var/log/messages
logger hello
Мониторинг системных событий в реальном
времени
Мониторинг
журнала системных событий в реальном времени
tail -n 20 /var/log/secure
Вывод логов /var/log/secure
Изменение правил rsyslog.conf
Изменение правил
rsyslog.conf
В первой вкладке терминала установим Apache (пакет httpd). После
окончания процесса установки запустим службу командами systemctl start
httpd и systemctl enable httpd
Запуск службы httpd
Изменение правил
rsyslog.conf
Журнал ошибок httpd
Изменение правил
rsyslog.conf
ErrorLog syslog:local1.
Редактирование httpd.conf
Изменение правил
rsyslog.conf
Теперь перейдем в каталог /etc/rsyslog.d и создадим файл мониторинга
событий веб-службы.
Создание httpd.conf в
/etc/rsyslog.d
Изменение правил
rsyslog.conf
Пропишем в нем строку, которая позволит нам отправлять все сообщения,
получаемые для local1, в файл /var/log/httpd-error.log
Модификация файла мониторинга
httpd.conf
Изменение правил
rsyslog.conf
Перейдем обратно в первый терминал и перезагрузим rsyslogd и
httpd:
systemctl restart rsyslog.service
systemctl restart httpd
В третьей вкладке терминала создадим отдельный файл конфигурации для
мониторинга отладочной информации.
Файл мониторинга отладочной
информации
Изменение правил
rsyslog.conf
logger -p daemon.debug “Daemon Debug Message”
Проверка мониторинга отладки
rsyslog
Использование journalctl
Использование journalctl
Посмотрим содержимое журнала с событиями с момента последнего
запуска системы: journalctl
Вывод journalctl
Использование journalctl
Посмотрим содержимое журнала без использования пейджера: journalctl
–no-pager
Вывод journalctl –no-pager
Использование journalctl
Включим режим просмотра в реальном времени: journalctl -f
Вывод journalctl -f
Использование journalctl
Просмотрим события для UID0: journalctl _UID=0
Вывод journalctl _UID=0
Использование journalctl
Отобразим последние 20 строк журнала: journalctl -n 20
Вывод journalctl -n 20
Использование journalctl
Просмотрим только сообщения об ошибках: journalctl -p err
Вывод journalctl -p err
Использование journalctl
Отфильтруем вывод журнала по точному времени: journalctl –since
“2025-10-18 18:28:00”
Вывод journalctl –since “2025-10-18
18:28:00”
Использование journalctl
Отфильтруем вывод журнала по относительному времени с выводом
сообщений с ошибкой приоритета: journalctl –since yesterday -p err
Просмотрим дополнительную информацию о службе, напрмер о sshd:
journalctl _SYSTEMD_UNIT=sshd.service
Вывод journalctl
_SYSTEMD_UNIT=sshd.service
Постоянный журнал journald
Постоянный журнал journald
Настройка прав для
/var/log/journal
Постоянный журнал journald
Журнал systemd теперь стал постоянным. Посмотрим сообщения журнала с
момента загрузки: journalctl -b.
Вывод сообщений журнала
Ответы на контрольные вопросы
Ответы на контрольные
вопросы
Какой файл используется для настройки rsyslogd?
/etc/rsyslog.conf
В каком файле журнала rsyslogd содержатся сообщения, связанные с
аутентификацией?
/var/log/secure
Ответы на контрольные
вопросы
Если вы ничего не настроите, то сколько времени потребуется для
ротации файлов журналов?
По умолчанию в дистрибутиве Rocky Linux установлена утилита
logrotate, которая автоматически ротирует журналы. Чтобы узнать период
ротации, можно посмотреть файл /etc/logrotate.conf
Если
вы ничего не настроите, то сколько времени потребуется для ротации
файлов журналов?
Для ротации файлов журналов потребуется одна неделя (weekly)
Файл конфигурации logrotate
Ответы на контрольные
вопросы
Какую строку следует добавить в конфигурацию для записи всех
сообщений с приоритетом info в файл /var/log/messages.info?
“*.info /var/log/messages.info”
Какая команда позволяет вам видеть сообщения журнала в режиме
реального времени?
tail -f <Журнал>
Какая команда позволяет вам видеть все сообщения журнала, которые
были написаны для PID 1 между 9:00 и 15:00?
journalctl _PID=1 –since=“09:00” –until “15:00”
Ответы на контрольные
вопросы
Какая команда позволяет вам видеть сообщения journald после
последней перезагрузки системы?
journalctl -b(–boot)
Какая процедура позволяет сделать журнал journald постоянным?
Создать директорию для хранения журналов: mkdir -p
/var/log/journal
Настроить права директории: chown root:systemd-journal
/var/log/journal; chmod 2775 /var/log/journal.
Перезапустить систему или службу: reboot или killall -USR1
systemd-journald
Вывод
В результате выполнения лабораторной работы я получил навыки работы с
утилитой journalctl и мониторинга событий в системе Linux.